CVE-2026-2128

Nome do Software Vulnerável e Versões Afetadas Breeze versões anteriores a 2.5.3

Description Ocorre uma verificação inadequada do cookie wordpress logged in no arquivo inc/cache/execute-cache.php quando a configuração "Cache Logged-in Users" está ativada. O plugin utiliza a função substr() para analisar o nome de usuário diretamente do valor do cookie para recuperar um arquivo de cache, mas não verifica a assinatura criptográfica da sessão ou a validade com o núcleo do WordPress. Isso permite que atacantes não autenticados utilizem um cookie manipulado para enganar o plugin e fazer com que ele forneça conteúdo HTML em cache destinado a um administrador. Isso pode levar à exposição de informações sensíveis, incluindo posts privados, a Barra de Administração e nonces do WordPress.

Recommendations Atualize para uma versão posterior a 2.5.2. Como medida paliativa temporária, desative a configuração "Cache Logged-in Users".